Python : Des milliers de téléchargements pour les 27 paquets malveillants ciblant des informaticiens

CISA.

Depuis près de six mois, un acteur inconnu a publié des paquets typosquat dans le référentiel Python Package Index (PyPI) dans le but de diffuser des logiciels malveillants capables de persister, de voler des données sensibles et d’accéder à des portefeuilles de crypto-monnaies à des fins lucratives.

Les 27 paquets, qui se faisaient passer pour des bibliothèques Python légitimes et populaires, ont attiré des milliers de téléchargements, indique Checkmarx dans un nouveau rapport. La majorité des téléchargements provenaient des États-Unis, de Chine, de France, de Hong Kong, d’Allemagne, de Russie, d’Irlande, de Singapour, du Royaume-Uni et du Japon.

« Cette attaque se caractérise par l’utilisation de la stéganographie pour dissimuler une charge utile malveillante dans un fichier image d’apparence innocente, ce qui augmente la furtivité de l’attaque », a déclaré l’entreprise spécialisée dans la sécurité de la chaîne d’approvisionnement en logiciels.

Certains des paquets sont pyefflorer, pyminor, pyowler, pystallerer, pystob et pywool, le dernier ayant été installé le 13 mai 2023. Le dénominateur commun de ces paquets est l’utilisation d’un script setup.py pour inclure des références à d’autres paquets malveillants (pystob et pywool) qui déploient un script Visual Basic (VBScript) afin de télécharger et d’exécuter un fichier nommé « Runtime.exe » pour obtenir une persistance sur l’hôte.
Ce binaire contient un fichier compilé capable de collecter des informations à partir de navigateurs web, de portefeuilles de crypto-monnaies et d’autres applications. Une autre chaîne d’attaque observée par Checkmarx dissimulerait un code exécutable dans une image PNG (« uwu.png »), qui est ensuite décodée et exécutée ; cela permet d’extraire l’adresse IP publique et l’identifiant universel unique (UUID) du système affecté…
Pystob et Pywool, en particulier, ont été publiés sous l’apparence d’outils de gestion d’API uniquement pour exfiltrer des données vers des webhooks Discord et tenter de maintenir la persistance en plaçant un fichier VBS dans le dossier de démarrage de Windows…
« Cette campagne est un nouveau rappel brutal des menaces toujours présentes dans le paysage numérique actuel, en particulier dans les domaines où la collaboration et l’échange ouvert de code sont fondamentaux », a déclaré Checkmarx.

Ce développement intervient alors que les ReversingLabs découvrent une nouvelle vague de paquets protestware npm qui « cachent des scripts diffusant des messages liés aux conflits pour la paix en Ukraine et en Israël dans la bande de Gaza ». Un paquet nommé @snyk/sweater-comb (version 2.1.1) détermine l’emplacement géographique de l’hôte ; s’il s’agit de la Russie, le message critiquant « l’invasion injustifiée » de l’Ukraine est affiché par le biais d’un autre module appelé « es5-ext ». Un autre module, e2eakarev, décrit comme « free palestine protest package » dans le fichier packagejson, effectue des vérifications similaires pour voir si l’adresse IP correspond à Israël ; si c’est le cas, il enregistre ce qui est décrit comme un « message de protestation inoffensif » qui invite les développeurs à sensibiliser à la lutte des Palestiniens…

Les acteurs de la menace ne sont pas les seuls à infiltrer les écosystèmes open-source En début de semaine, GitGuardian a révélé la présence de 3 938 secrets uniques totaux dans 2 922 projets PyPI, dont 768 secrets uniques valides. Cela inclut les clés AWS Azure Active Directory API keys GitHub OAuth app keys Dropbox keys SSH keys credentials associated MongoDB MySQL PostgreSQL Coinbase Twilio….

De plus, beaucoup de ces secrets ont été divulgués plus d’une fois, couvrant plusieurs versions, ce qui porte le nombre total d’occurrences à 56 866  » Exposer des secrets de paquets open source comporte des risques significatifs pour les développeurs comme pour les utilisateurs Les attaquants peuvent exploiter ces informations pour obtenir un accès non autorisé, se faire passer pour des mainteneurs de paquets et manipuler les utilisateurs par des tactiques d’ingénierie sociale « , a déclaré Tom Forbes.

La vague continue d’attaques ciblant la chaîne d’approvisionnement des logiciels a également incité le gouvernement américain à publier ce mois-ci de nouvelles directives à l’intention des développeurs de logiciels et des fournisseurs afin de les sensibiliser à la sécurité des logiciels. Comme l’utilisation des logiciels libres a augmenté, la probabilité que des cyberacteurs malveillants tirent parti des logiciels libres pour mener des cyberopérations s’est également accrue CISA

Il est recommandé que les organisations d’acquisition procèdent à des évaluations des risques liés à la chaîne d’approvisionnement dans le cadre de leurs décisions d’achat, compte tenu des récents incidents très médiatisés de la chaîne d’approvisionnement des logiciels », ont déclaré l’Agence de cybersécurité et de sécurité des infrastructures (CISA), l’Agence de sécurité nationale (NSA) et le Bureau du directeur du renseignement national (ODNI).

« Les développeurs et les fournisseurs de logiciels devraient améliorer leurs processus de développement de logiciels et réduire le risque de préjudice non seulement pour les employés et les actionnaires, mais aussi pour leurs utilisateurs. »

La Commission européenne a publié un rapport sur la sécurité des logiciels et des systèmes d’information.

Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.